Raporti: 1.000 e konsulentëve dhe firmave në Mbretërinë e Bashkuar të ekspozuara në rrjedhje të mëdha të të dhënave

Udhëhequr nga Noam Rotem dhe Ran Locar, ekipi hulumtues i vpnMentor zbuluar së fundmi; një shkelje në një bazë të dhënash që përmban skedarë shumë të ndjeshëm nga disa firma konsulente britanike.

Lidhur me departamentet e tyre përkatëse të burimeve njerëzore, skedarët e kompromentuar ekspozuan informacione të hollësishme të ndjeshme që u përkasin firmave, së bashku me 1.000 profesionistë britanikë.

Sikur të ishte zbuluar kjo bazë e të dhënave nga hakerat kriminelë, mund të kishte qenë pasoja të rënda për sigurinë dhe intimitetin e të ekspozuarve.

Afati kohor i zbulimit dhe reagimit të pronarit

Ndonjëherë, shkalla e një shkelje të të dhënave dhe pronarit të të dhënave janë të dukshme, dhe çështja zgjidhet shpejt. Por janë të rralla këto kohë.

Më shpesh, na duhen ditë hetimi përpara se të kuptojmë se çfarë është në diskutim ose kush po i zbulon të dhënat. Kuptimi i një shkeljeje dhe ndikimi i tij i mundshëm kërkon vëmendje dhe kohë të kujdesshme.

Ne punojmë shumë për të botuar raporte të sakta dhe të besueshme, duke siguruar që të gjithë ata që i lexojnë ata e kuptojnë seriozitetin e tyre. Disa biznese të prekura nuk pranojnë studimin tonë, mohojnë faktet ose ndikojnë në ndikimin e tij.

Kështu që, ne duhet të jemi të plotë dhe të sigurohemi që gjithçka që prezantojmë është e saktë dhe e vërtetë.

Në këtë rast, skedarët ishin duke u ruajtur në një bazë të dhënash Amazon Web Services (AWS) S3. Kjo është një metodë e njohur për ruajtjen e skedarëve në AWS, por kërkon që përdoruesit të zbatojnë protokollet e tyre të sigurisë. Ndërsa pronari i bazës së të dhënave nuk ishte fillimisht i qartë, ajo u etiketua “CHS”.

Ne e gjurmuan këtë përsëri në CHS Consulting, një firmë konsulente me qendër në Londër. Sidoqoftë, pasi që kompania nuk ka faqe në internet, ne nuk mund të konfirmojmë pronësinë e tyre në bazën e të dhënave. Nderkohe, ne gjithashtu kontaktuam direkt me AWS dhe CERT-MB, Ekipin e Reagimit të Emergjencave Kompjuterike të vendit – përgjegjës për monitorimin dhe trajtimin e sigurisë së të dhënave në MB.

Deri më 19 dhjetor, shkelja ishte mbyllur dhe baza e të dhënave ishte e siguruar.

  • Data e zbuluar: 9/12/19
  • Data CERT-MB kontaktuar: 10/12/19
  • Data e kontaktit me AWS: 17/12/19
  • Data e përgjigjes nga AWS: 18/12/19
  • Data e veprimit: Përafërsisht. 19/12/19

Shembull i hyrjeve në bazën e të dhënave

Baza e të dhënave e ekspozuar përmbante skedarë që i përkisnin shumë firmave të konsulencës me bazë në Mbretërinë e Bashkuar. Këto përfshijnë:

  • Partnerë Dynamic (mbyllur në vitin 2019)
  • Eximius Consultants Limited
  • Këshilltarët Garraway (mbyllur në vitin 2014)
  • Konsulencë për IQ
  • Partners Associates Ltd (mbyllur në 2018)
  • Winchester Ltd (mbyllur në 2018)

Ndërsa shumica e të dhënave të ekspozuara ishin nga viti 2014-2015, disa skedarë kthehen deri në vitin 2011.

Duke pasur parasysh natyrën e skedarëve që gjenden brenda bazës së të dhënave, informacioni i ekspozuar është akoma i rëndësishëm dhe mund të përdoret në shumë mënyra. Dosjet personale personale që ekipi ynë i shikoi përfshiheshin, por nuk kufizoheshin vetëm në:

  • Skanime të pasaportave 1.000
  • Dokumentet tatimore
  • Aplikimet për punë
  • Vërtetimet e adresës
  • Kontrolle të gjera të sfondit
  • Të dhënat kriminale
  • Format e shpenzimeve dhe përfitimeve
  • Taksat e biznesit në lidhje me dokumentet dhe HMRC
  • Kontrata të skanuara me nënshkrime
  • Informacion mbi pagën për një varg rolesh dhe pozicionesh
  • Email dhe mesazhe private
  • Një kontratë për një marrëveshje kredie
  • Me shume

Këto dokumente përmbajnë një gamë të gjerë të të dhënave të informacionit personalisht të identifikueshëm (PII) për 1.000 banorë të britanikëve dhe profesionistëve të punës.

Për kontekstin, vetëm dy skedarë nga një firmë e vetme përmbajnë një gamë të plotë të të dhënave PII:

  • Emrat e plotë
  • adresat
  • Numrat e telefonit
  • Adresat e postës elektronike
  • Datat e lindjes
  • gjinitë
  • Titujt e punëve & industritë
  • Numrat e Sigurimeve Kombëtare
  • Kodet e taksave
  • Statusi i imigracionit dhe vizave
  • kombësive
  • Detajet e pagës
  • Detajet e tarifave të konsulentëve individualë
  • Të dhënat financiare të ndërmarrjes

Disa nga këto mund të shihen në dy copëzat e mëposhtme (detajet identifikuese janë mbuluar):

Sikur hakerët kriminalë të zbulonin këtë bazë të dhënash, do të ishte një minierë ari për veprimtari të paligjshme dhe mashtrime, me rezultate potencialisht shkatërruese për ata të ekspozuar.

Këshilla nga ekspertët

“CHS” mund të kishte shmangur lehtësisht këtë rrjedhje nëse do të kishin marrë disa masa themelore të sigurisë për të mbrojtur bazën e të dhënave.

Këto përfshijnë, por nuk kufizohen vetëm në:

  1. Sigurimi i serverave të tyre.
  2. Zbatimi i rregullave të duhura të hyrjes.
  3. Asnjëherë mos e lini një sistem që nuk kërkon autentifikim të hapur në internet.

Do kompani mund të kopjojë të njëjtat hapa, pavarësisht nga madhësia e saj. Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni udhëzuesin tonë për të siguruar faqen tuaj të internetit dhe bazën e të dhënave online nga hakerat.

Sigurimi i një kovë të hapur S3

Shtë e rëndësishme të theksohet se kova S3 e hapur, e shikueshme nga publiku, nuk është një gabim i AWS. Ata zakonisht janë rezultat i një gabimi nga pronari i kovës.

Amazon ofron udhëzime të hollësishme për përdoruesit e AWS për t’i ndihmuar ata të sigurojnë kovat S3 dhe t’i mbajnë ato private. Në rastin e “CHS”, mënyra më e shpejtë për të zgjidhur këtë gabim do të ishte:

  • Bëni kovën private dhe shtoni protokolle vertetimi.
  • Ndiqni qasjet AWS dhe praktikat më të mira të vërtetimit.
  • Shtoni më shumë shtresa mbrojtjeje në kovën e tyre S3 për të kufizuar më tej se kush mund ta përdorë atë nga çdo pikë e hyrjes.

Për konsulentët individualë dhe firmat e ekspozuara

Nëse jeni një konsulent ose firmë këshillimi me bazë në Mbretërinë e Bashkuar dhe jeni i shqetësuar për këtë shkelje, kontaktoni CERT-UK për të kuptuar se çfarë hapash janë ndërmarrë për të mbajtur të dhënat tuaja të sigurta dhe për të siguruar që ato nuk kanë dalë.

Për të mësuar më shumë rreth dobësive të të dhënave në përgjithësi, lexoni udhëzuesin tonë të plotë për privatësinë në internet. Kjo ju tregon shumë mënyra se si kriminelët kibernetikë synojnë përdoruesit e internetit dhe hapat që mund të ndërmerrni për të qëndruar të sigurt.

Si dhe pse e zbuluam shkeljen

Ekipi hulumtues vpnMentor zbuloi shkeljen në bazën e të dhënave “CHS” si pjesë e një projekti të madh hartografie në internet. Studiuesit tanë përdorin skanimin e portit për të ekzaminuar blloqe të veçanta IP dhe për të provuar vrimat e hapura në sisteme për dobësitë.

Ata ekzaminojnë secilën vrimë për të dhënat që dalin. Kur ata zbulojnë një shkelje të të dhënave, ata përdorin teknika ekspertësh për të verifikuar identitetin e bazës së të dhënave. Ne pastaj njoftojmë kompaninë për shkeljen. Nëse është e mundur, ne gjithashtu do të paralajmërojmë ata që preken nga shkelja.

Ekipi ynë ishte në gjendje për të hyrë në këtë bazë të dhënash kovë AWS S3 sepse ishte plotësisht i pasigurt dhe i pakriptuar. Qëllimi i këtij projekti hartografie në internet është të ndihmojë në bërjen e internetit më të sigurt për të gjithë përdoruesit.

Si hakerë etikë, ne jemi të detyruar të informojmë një kompani kur zbulojmë të meta në sigurinë e tyre në internet. Meqenëse ne nuk mund t’i afroheshim pronarit direkt, ne arritëm të mësonim si NSCS dhe Amazon, për t’i njoftuar ata në lidhje me cenueshmërinë, por gjithashtu t’i ndihmojmë ata të na ndihmojnë të sigurojmë të dhënat.

Këto etikë nënkuptojnë gjithashtu që mbajmë një përgjegjësi para publikut. Njerëzit e prekur duhet të jenë të vetëdijshëm për një shkelje të të dhënave që ndikon gjithashtu mbi to.

Ne gjithashtu kurrë nuk shesim, ruajmë ose ekspozojmë ndonjë informacion që hasim gjatë hulumtimit tonë të sigurisë.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për shqyrtimin e VPN-së. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të ndihmojë komunitetin online të mbrohet kundër kërcënimeve në internet ndërsa edukon organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Ekipi ynë i kërkimit të sigurisë etike ka zbuluar dhe zbuluar disa nga rrjedhjet më të rëndësishme të të dhënave në vitet e fundit. Kjo ka përfshirë një rrjedhje të madhe të të dhënave duke ekspozuar biometrikën dhe gjurmët e gishtërinjve të mbi 1 milion njerëzve globalisht.

Ne gjithashtu zbuluam se si platforma britanike për redaktimin e videove VEED kishte kompromentuar intimitetin dhe sigurinë e përdoruesve të tyre. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me